Technische Kompromittierung

Ein System wird als kompromittiert betrachtet, wenn Daten manipuliert sein könnten und wenn der Administrator des Systems keine Kontrolle über die korrekte Funktionsweise mehr hat. Typischerweise tritt dies nach einem Befall durch einen Computervirus oder durch einen gezielten Einbruch durch Cracker auf. Ein derartig manipuliertes System ist als nicht mehr vertrauenswürdig anzusehen.

Folgemaßnahmen: Wird ein System als kompromittiert gesehen, so sollten Maßnahmen durchgeführt werden, um weitere Schäden zu verhindern:

In der Regel wird empfohlen, kompromittierte Rechner sofort vom Internet oder Local Area Network zu trennen. Dies hat den Zweck, um dem Angreifer die Möglichkeit zu nehmen, weiteren Schaden anzurichten oder gegebenenfalls seine Spuren zu verwischen. Die Trennung vom Netz kann auch unterbleiben, wenn ein Computerforensiker dem Angreifer auf die Spur kommen will und die weiteren Schritte des Angreifers beobachtet.

Eine sofortige Abschaltung wirkt hingegen zumeist kontraproduktiv. Denn durch die Abschaltung werden Spuren, die sich im flüchtigen Speicher befinden, vernichtet. Daher sollte sowohl ein Kopie der im RAM befindlichen Daten sowie ein Komplettabzug der Festplatte(n) gemacht werden. Erst wenn alle Daten gesichert sind, kann der Rechner abgeschalten werden.

Durch den erfolgten Angriff kann die Gegenseite im Besitz aller gespeicherter Daten sein. Hierzu gehören auch sensible Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken, personenbezogene Daten, Geschäftsgeheimnisse, etc. Der Nutzer sollte also alle diese Daten schnellmöglich ändern oder andere Beteiligte darüber informieren.

Das Image der Festplatte sowie des RAMs sollten einer eingehenden forensischen Analyse unterzogen werden. Hierdurch kann man feststellen, mit welchen Mitteln der Angreifer in das System eindringen konnte. Diese Analyse hilft, die Schwachstellen aufzudecken und die Fehler bei der Neuinstallation ggf. zu vermeiden.

Hinweis: Die Analyse eines Virenscanners ist in der Regel unzureichend, um Aussagen über das System zu machen. Sie kann aber als Hilfsmittel eingesetzt werden. Dazu muss der Virenscanner jedoch von ein nicht kompromittierten System (CD-Rom) aufgerufen werden.

Hinweis: Wenn eine Datensicherung existiert, kann in Betracht gezogen werden, den nächsten Schritt zu überspringen.

Nutzer tendieren meist dazu, die Kompromittierung durch eigene Reparaturarbeiten zu beheben. Dies ist jedoch meist nicht von Vorteil, da der Angreifer volle Kontrolle über das System hatte. Dies ermöglichte es ihm unter Umständen auch Schadprogramme zu installieren, die Virenscanner oder andere Werkzeuge nicht erkennen.

Ein Weg, um jeglichen weiteren Schaden abzuwenden, ist daher eine Neuinstallation. Sofern die vorher genutzte Hardware wieder zum Einsatz kommt, müssen alle Daten und Programme durch eine Formatierung und/oder Partitionierung gelöscht werden. Die Installation muss ausschliesslich von Originalmedien erfolgen. Schliesslich sollte man das Betriebssystem sowie die zu nutzende Software auf bekannte Sicherheitslücken untersuchen. Diese können in der Regel durch das Einspielen eines Patches geschlossen werden. Nach der Konfiguration des Systems kann es wieder an das Netzwerk angeschlossen werden.

Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.

Um das System zu komplettieren, müssen nun die Daten (Datenbanken, Bilder, Schriftstücke etc.) aus einem nicht kompromittierten Backup eingespielt werden. Gibt es kein Backup, das garantiert nicht veränderte Daten enthält, oder Prüfsummen über einen garantiert sauberen Datenbestand, so kann nur mit Einschränkungen mit dem alten Datenbestand weitergearbeitet werden. Lässt sich der Zeitpunkt der Kompromittierung nicht feststellen, so müssen alle Daten als manipuliert angesehen werden.